EDR を利用した様々な LSASS 資格証明ダンプ方式の検知 Posted By Sanseo , 2024年 January 19日 AhnLab SEcurity intelligence Center(ASEC)は、「ドメイン環境における EDR を活用した資格情報窃取段階の検知」 [1] ブログにて攻撃者がアクティブディレクトリ環境に属しているシステムを掌握したあと、資格情報を窃取する様々な方式を紹介した。この記事では、資格情報を窃取する方式のうち、LSASS プロセスのメモリに保存されている NT Hash(NTLM 認証プロトコルで使用するハッシュ)をダンプする様々な手法についてより詳細に紹介する。…
履歴書を装った Word ドキュメントで拡散されている LockBit ランサムウェア Posted By yeeun , 2024年 January 19日 AhnLab SEcurity intelligence Center(ASEC)は、先月より Word ドキュメントを通して LockBit ランサムウェアが配布されていることを確認した。LockBit ランサムウェアは、主に履歴書を装って配布されることが特徴であり、今回確認された不正な Word ドキュメントも履歴書を装っていた。[1] また、Word ドキュメントの…
脆弱性攻撃によりインストールされる Mimo コインマイナー with Mimus ランサムウェア Posted By Sanseo , 2024年 January 19日 AhnLab SEcurity intelligence Center(ASEC)は最近、Mimo と呼ばれるコインマイナーの攻撃者が様々な脆弱性を突く攻撃を行い、複数のマルウェアをインストールしている状況を確認した。Mimo は Hezb とも呼ばれ、2022年3月頃に Log4Shell の脆弱性攻撃を通じてコインマイナーマルウェアをインストールしている事例が初めて確認された。 これまでに認知されている攻撃事例はすべて、最終的に Mimo…
ウェブハードによって拡散している Remcos Rat マルウェア Posted By leeikgyu , 2024年 January 15日 AhnLab SEcurity intelligence Center(ASEC)は最近、韓国国内で収集されているマルウェアの配布元をモニタリング中、Remcos Rat マルウェアが成人向けゲームに偽装し、ウェブハードを通じて配布されている事実を確認した。ウェブハードと Torrent は、韓国国内においてマルウェア配布の際に主に使用されている代表的なプラットフォームである。 一般的に攻撃者は njRAT や UDP…
ドメイン環境における EDR を活用した資格情報窃取段階の検知 Posted By ASEC , 2024年 January 10日 「ドメイン環境における EDR を活用した内部偵察段階の検知」[1] の記事では、攻撃者がアクティブディレクトリ環境に属しているシステムを掌握したあと、内部ネットワークを偵察して情報を収集するプロセスを、EDR を利用して検知する事例を取り上げた。組織のインフラがアクティブディレクトリ(Active Directory)を使用する環境の場合、攻撃者は内部偵察段階を経てドメイン環境の情報を収集し、資格情報を窃取したあと、これをもとにラテラルムーブメントを実行し、最終的にドメイン環境を掌握できる。 ここでは、攻撃者がアクティブディレクトリ環境に属するシステムを掌握したあと、ラテラルムーブメントのために資格情報を窃取する攻撃段階を解説し、EDR を利用してこれを検知する方式を紹介する。攻撃者は資格情報の窃取のために Mimikatz を含む様々なツールも活用することがあり、管理者の不注意を悪用する可能性がある。 このような資格情報窃取の段階はドメインを掌握するための核心的なステップであるため、攻撃者はセキュリティ製品による検知を回避するために様々な手法を用いる。ファイル検知を回避するためにパッキングや難読化を施すことはもちろん、振る舞い検知を回避するために正常なユーティリティである ProcDump…
